TA413 APT IOCs

security IOC

Аналитики компании Recorded Future продолжают наблюдать за тем, как китайские государственные группы осуществляют слежку и сбор разведывательной информации за общинами этнических и религиозных меньшинств. Ранее мы рассказывали о деятельности такого рода, которую мы приписывали RedAlpha. С тех пор выявили еще одну группу, которая особенно настойчиво преследует тибетскую общину, обычно упоминаемую в открытых источниках как TA413.

TA413 APT IOCs

TA413 APT

В первой половине 2022 года Recorded Future наблюдали, как TA413 использовала уже исправленную уязвимость нулевого дня, направленную на продукт Sophos Firewall (CVE-2022-1040), использовала уязвимость "Follina" (CVE-2022-30190) вскоре после обнаружения и публикации, а также использовала недавно замеченный пользовательский бэкдор, который мы отслеживаем как LOWZERO, в кампаниях, направленных на тибетские организации. Эта готовность быстро внедрять новые техники и методы первоначального доступа контрастирует с постоянным использованием группой хорошо известных и зарегистрированных возможностей, таких как устройство для создания оружия Royal Road RTF, и часто вялой тенденцией к закупкам инфраструктуры.

  • TA413, вероятно, осуществляет кибершпионаж от имени китайского государства. Эта оценка основана на постоянных нападениях группы на тибетскую общину в целях сбора разведданных, использовании пользовательских возможностей, общих для других известных китайских государственных груп.
  • TA413, вероятно, является потребителем общего конвейера разработки возможностей, обслуживающего множество китайских государственных групп, примером чего является постоянное использование группой конструктора Royal Road RTF, общий эксплойт нулевого дня в Sophos Firewall, замеченный в использовании множеством связанных с Китаем групп, и исторический доступ к другим общим семействам вредоносных программ, таким как бэкдор TClient.
  • В общей сложности мы наблюдали, как минимум, три китайские государственные группировки использовали уязвимость нулевого дня в Sophos Firewall CVE-2022-1040. В более широком смысле, эта активность является еще одним свидетельством продолжающегося роста использования "нулевого дня" китайскими государственными субъектами и постоянного обмена пользовательскими возможностями - включая эксплойты - между группами, связанными с китайскими спецслужбами.
  • TA413 создает новый пользовательский бэкдор LOWZERO, отклоняясь от использования хорошо известных инструментов с открытым исходным кодом.

Indicators of Compromise

IPv4

  • 134.122.129.102
  • 134.122.129.38
  • 172.105.35.111
  • 192.46.213.63
  • 45.77.45.222
  • 65.20.75.158

IPv4 Port Combinations

  • 45.77.19.75:110
  • 45.77.45.222:110

Domains

  • airjaldi.online
  • applestatic.com
  • freetibet.in
  • newsindian.xyz
  • tibet.bet
  • tibetyouthcongress.com

URLs

  • http://65.20.75.158/poc.html
  • http://65.20.75.158/0524x86110.exe

SHA256

  • 028e07fa88736f405d24f0d465bc789c3bcbbc9278effb3b1b73653847e86cf8
  • 5217c2a1802b0b0fe5592f9437cdfd21f87da1b6ebdc917679ed084e40096bfd
  • 86f45f0d6778fda90a56ea8986a9124d768715af425784bbd1c371feeb2bfe68
SEC-1275-1
Добавить комментарий